信息安全等级测评师培训应用系统安全测评1内容目录1.背景介绍2.应用测评的特点和方法3.主要测评内容4.结果整理和分析2应用安全的形势（一）开发商和用户对应用安全重视程度不够开发商安全意识普遍淡薄，开发中留有安全隐患用户普遍对应用安全不重视，系统上线前把关不严应用系统存在的漏洞较多的报告显示，超过NIST92%ofreportedvulnerabilitiesareinapplications,notnetworks90%的安全漏洞是应用层EncryptionModule2%2%1%0%3%NetworkProtocolStack漏洞，它已经远远超过网15%Other41%络、操作系统和浏览器的CommunicationProtocolHardware漏洞数量，这个比例还有OperatingSystemNon-ServerApplications上升的趋势。ServerApplications36%Source:NIST3应用安全的形势（二）针对应用系统的攻击手段越来越多，面临的威胁在不断增大针对口令的攻击，如口令破解等非授权获取敏感信息，如信息窃听、系统管理员非授权获取敏感业务数据（如用户的密码等信息）等针对WEB应用的攻击，如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝服务攻击、改变网页内容等4指标选取在《基本要求》中的位置数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。5应用系统的指标选取在《基本要求》中的位置“应用安全”的所有指标，对于应用平台软件等则从中选择部分指标；“数据安全及备份恢复”中的部分指标，对于三级信息系统，在应用安全中，主要检查“数据完整性”、“数据保密性”和“备份和恢复”第一和第二项；应结合管理的要求，如“应根据开发需求检测软件质量”、“应要求开发单位提供软件源代码，并审查软件中可能存在的后门”，加强应用系统的源代码安全性。6内容目录1.背景介绍2.应用测评的特点和方法3.主要测评内容4.结果整理和分析7应用测评的特点安全功能和配置检查并重和数据库、操作系统等成熟产品不同，应用系统现场测评除检查安全配置外，还需验证相关安全功能是否正确应用测评中不确定因素较多业务和数据流程不同，需根据业务和数据特点确定范围应用系统安全漏洞发现困难，很难消除代码级的安全隐患测评范围较广，分析较为困难应用系统测评包括应用平台（如IIS等）的测评，且和其他层面关联较大8应用测评的方法（1）通过访谈，了解安全措施的实施情况后台处理系统和其他成熟产品不同，应用系统只有在充分了解其部署情况后，才能明确测评C-Switch的范围和对象，分析其系统的脆弱性和面临的主要安全威胁，有针对性的进行移动内部接门户网站入网关右图是一个手机支付系检查和测试。--统的流程示意图，通过网页和手机可以完成冲值、查询等业务。9应用测评的方法（2）通过检查，查看其是否进行了正确的配置有的安全功能（如口令长度限制、错误登录尝试次数等）需要在应用系统上进行配置，则查看其是否进行了正确的配置，与安全策略是否一致。无需进行配置的，则应查看其部署情况是否与访谈一致。如果条件允许，需进行测试可通过测试验证安全功能是否正确，配置是否生效。代码级的安全漏洞在现场查验比较困难，则可进行漏洞扫描和渗透测试。10内容目录1.背景介绍2.应用测评的特点和方法3.主要测评内容4.结果整理和分析11身份鉴别要求项（一）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；12身份鉴别要求项（二）应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。13身份鉴别条款理解提供专用的登录控制模块对用户身份的合法性进行核实，只有通过验证的用户才能在系统规定的权限内进行操作，这是防止非法入侵最基本的一种保护措施；三级或三级以上系统要求必须提供两种（两次口令鉴别不属于这种情况）或两种以上组合的鉴别技术进行身份鉴别（口令+CA证书），在身份鉴别强度上有了更大的提高；14身份鉴别条款理解为每一个登录用户提供唯一的标识，这样应用系统就能对每一个用户的行为进行审计；同时，为了增加非授权用户使用暴力猜测等手段破解用户鉴别信息的难度，应保证用户的鉴别信息具有一定的复杂性，如用户的密码的长度至少为8位、密码是字母和数字的组合等；应用